Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 35-37/2022)“
Und hier ist er, der 51. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 35-37/2022)“. Wieder in normalen Fahrwassern, wieder ein wenig später als am Wochenende. Ach ja…
Wir wissen, dass der EuGH zur VDS in Deutschland ein Urteil gesprochen hat und dass Microsoft eine neue Version seiner DPA veröffentlicht hat. Dazu gibt es mehr Infos im nächsten Blogbeitrag. Aber auch so ist in diesem Blogbeitrag schon wieder recht viel und vieles Interessantes drin.
- Aufsichtsbehörden
- EDSA: Übersicht über die Ressourcen der Aufsichtsbehörden
- LfD Rheinland-Pfalz: Tätigkeitsbericht für 2021
- LDI Niedersachsen: Hinweise zur Profilbildung zu Werbezwecken
- LDI NRW: Akkreditierung einer Überwachungsstelle für genehmigte Verhaltensregeln
- Irland: Bußgeld gegen Instagram in Höhe von 405 Mio. Euro
- EDPS: Leitlinien für Verantwortliche und Auftragsverarbeiter
- Bußgeld gegen Privatperson möglich
- Berlin: … Und nun zu WebEx …
- Berlin: Nachfolgelösung gefunden?
- BAFin: Veröffentlichung zu DLT, Blockchain und Kryptowerten
- Rechtsprechung
- OLG Karlsruhe: Berücksichtigung des Drittstaatentransfers in Vergabeentscheidung
- BVerwG: Anforderungen an Abwägung bei Offenlegung nach Umweltinformationsgesetz
- BAG: Pflicht zur Arbeitszeiterfassung / Initiativrecht des Betriebsrats
- LG Bonn: Bekannte Informationen schließen Auskunft nicht aus
- Österreich OGH: Zulässigkeit von Bewertungsplattformen
- Belgien: Vorlagefragen an EuGH wegen IAB
- EGMR: Unzulässige Datenspeicherung der sexuellen Orientierung bei Blutspende
- EuGH: Geldbuße gegen Google wegen Wettbewerbsbeschränkungen in Höhe von 4,125 Mrd. Euro
- Gesetzgebung
- Künstliche Intelligenz und Ethik
- Veröffentlichungen
- BRAK zu Microsoft 365
- Microsoft 365 und Betriebsräte
- Nochmal Microsoft: Ankündigungen zum 1. Oktober 2022
- Whistleblowing und Mitbestimmung
- Umsetzung der „Cookie-Banner“-Anforderungen
- Hinweise auf Drittstaaten bei Informationspflichten
- Facebook und Datenschutz
- EuGH und sensible Daten
- Impfterminvergabe in Berlin
- Veranstaltungen
- Stiftung Datenschutz im Ehrenamt: Besonderheiten im Bereich kirchlichen Engagements
- EAID: Wann kommt das Bundestransparenzgesetz – und mit welchem Inhalt?
- Microsoft Roundtable: Microsoft 365 und Betriebsräte
- Stiftung Datenschutz: „IT-Sicherheit gemäß DS-GVO: vereinbaren und umsetzen“
- bits und bäume: CDR-Slam zu digitaler Verantwortung
- LfDI BW: Datenschutzgrundlagen für öffentliche Stellen
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Ein Update zu den Leaky Forms
- Einbinden externer Softwarebibliotheken und Software Development Kits (SDKs) – immer eine gute Idee?
- Massenüberwachung zum Sparpreis – die enthüllte Dienstleistung
- Kennen Sie die Kryptokalypse?
- DoS mal anders
- Mit Alexa-Routinen Strom- und Heizkosten senken?
- Skip Google for research
- Apropos toxisches Netzwerk – TikTok
- Für unsere Leser aus der Schweiz – Der DSG-Survival-Guide
- Die gute Nachricht zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDSA: Übersicht über die Ressourcen der Aufsichtsbehörden
Welche Ressourcen stehen den europäischen Datenschutzaufsichtsbehörden in Manpower und finanziellen Mitteln denn zur Verfügung? Und wie sind sie damit zufrieden? Das ist der Aufstellung des EDSA zu entnehmen, die Anfang September veröffentlicht wurde. Natürlich steht da Deutschland mit den Aufsichtsbehörden aufgrund der föderalen Struktur auf den ersten Blick sehr gut da.
1.2 LfD Rheinland-Pfalz: Tätigkeitsbericht für 2021
In dem Tätigkeitsbericht für das Jahr 2021 des LfD Rheinland-Pfalz finden sich wieder praxisnahe Fragestellungen und entsprechende Bewertungen, wie z.B. das Verhältnis zu steuerrechtlichen Aufbewahrungspflichten und datenschutzrechtlichen Löschansprüchen (Ziffer 4.3) oder die Anforderungen an Einwilligungen zur Sprachaufzeichnungen von Kundentelefonaten zu Qualitätssicherung (Ziffer 5.1). Er äußert aber auch seine Rechtsauffassung zur Anwendbarkeit des § 29 Abs. 3 BDSG den Untersuchungsbefugnisse der Datenschutzaufsichtsbehörden bei Berufsgeheimnisträgern wie z.B. Ärzten (Ziffer 8.2). Bei der Rechtsdurchsetzung (Ziffer 14) fand ich das dort erwähnte Bußgeld im Falle einer nicht erteilten Auskunft in Höhe von 60.000 € erwähnenswert.
1.3 LDI Niedersachsen: Hinweise zur Profilbildung zu Werbezwecken
Über das Bußgeld in Höhe von 900.000 € gegen eine Volksbank wurde bereits berichtet. Nun konkretisiert die LDI Niedersachsen ihre Hinweise, auf was bei einer Profilbildung zu Werbezwecke zu achten ist. Und hier der explizite Hinweis: Diese Anmerkungen gelten sicher nicht nur für Volksbanken, sondern für alle Einrichtungen, die die Daten ihrer Kunden analysieren wollen, wer wie zu welchen Themen und mit welchen Mitteln bestmöglichst angesprochen werden sollte. Also pauschal gesagt für Verhaltensprognosen auf Basis von Zahlungsdaten, etc. Es empfiehlt sich nach den Erwartungen der niedersächsischen Aufsicht Einwilligungen zu Verarbeitungen zu diesen Zwecken möglichst detailliert zu verfassen.
Auch wenn sicherlich nicht alle Aufsichtsbehörden hier gleichermaßen im Ruf stehen gleich mit Sanktionen zu reagieren, erlaube ich mir darauf hinzuweisen, dass in eine wirtschaftliche Risikobetrachtung auch das Verhalten von Verbraucherschutzeinrichtungen und Schadensersatzansprüche der betroffenen Personen einbezogen werden könnten. Auch in einem Podcast zu Finanzdienstleistungen wird die Thematik bereits angesprochen.
1.4 LDI NRW: Akkreditierung einer Überwachungsstelle für genehmigte Verhaltensregeln
Die Genehmigung der bisherigen Verhaltensregeln für Prüf- und Löschfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien litt bisher an der fehlenden Überwachungsstelle. Diese wurde nun durch die LDI NRW mit der Tigges DCO GmbH akkreditiert. Dass Gerichte die Verhaltensregeln bzgl. einzelner Löschfristen ohne individuelle Prüfung für nicht rechtskonform erachten scheint bislang nicht gestört zu haben.
1.5 Irland: Bußgeld gegen Instagram in Höhe von 405 Mio. Euro
Das Bemerkenswerte ist nicht, dass ein Geschäftsmodell sanktioniert wird, das seit Jahren hinsichtlich der Transparenz bezüglich des Umgangs mit personenbezogenen Daten kritisiert wird. Bemerkenswert ist, dass eine Sanktionierung überhaupt angekündigt wurde, steht die irische Datenschutzaufsicht doch nicht im Ruf die Speerspitze der sanktionswilligen Aufsichten darzustellen. Und da es um die Daten von Kindern geht scheint es auch nicht in Frage gestellt zu werden, dass hier besondere Anforderungen zu beachten sind.
1.6 EDPS: Leitlinien für Verantwortliche und Auftragsverarbeiter
Der Europäische Datenschutzbeauftragte hat 2019 Leitlinien zur Verordnung 2018/1725 hinsichtlich der Verantwortlichen und Auftragsverarbeiter veröffentlicht, die den Umgang mit personenbezogenen Daten durch EU-Einrichtungen regeln. Die wesentlichen Regelungen entsprechenden denen der DS-GVO. Daher können auch Aussagen dort für die Interpretation der DS-GVO herangezogen werden, z.B. auch das Flowchart zur Abgrenzung Verantwortlicher, Auftragsverarbeiter und gemeinsam Verantwortliche.
1.7 Bußgeld gegen Privatperson möglich
Eigentlich gilt die DS-GVO „nur“ für Unternehmen, Vereine und Behörden (etc.) und nicht für Privatpersonen. Agieren diese aber im Umgang mit personenbezogenen Daten außerhalb des privaten, familiären Umfeldes gilt diese Ausnahme des sogenannten „Haushaltsprivilegs“ nicht mehr und sie sollten sich um die Einhaltung der Anforderungen kümmern. Erfolgt dies nicht, kann auch – wie hier in Spanien – ein Bußgeld verhängt werden. Eine Videokamera überwachte trotz Beschwerde weiterhin auch den Bereich einer anderen Person. Hinweise dazu finden Sie in diesem Beitrag.
1.8 Berlin: … Und nun zu WebEx …
Wie gehen Datenschutzaufsichtsbehörden mit Videokonferenzsystemen um? Im Fall der Beschwerde des Asta der FU Berlin scheint sich etwas zu tun. Nach Informationen des asta will die BBDI hier nun Maßnahmen ergreifen. Schau´n mer mal.
1.9 Berlin: Nachfolgelösung gefunden?
Berichten zufolge wird es dieses Jahr noch eine Nachfolgeentscheidung für die Besetzung der Berliner Beauftragten für Datenschutz und Informationsfreiheit geben.
1.10 BAFin: Veröffentlichung zu DLT, Blockchain und Kryptowerten
Wir alle kennen seit Jahren die Resonanz der Buzzwörter „Blockchain“ und „Distributed Ledger Technologie (DLT)“ auch auf Managementebene, auch wenn einige Probleme damit immer noch als Lösungsaufgaben angesprochen werden, ohne gelöst zu werden. Daher fällt bereits der Satz in der Veröffentlichung „Dienstleistungen rund um DLT, Blockchain und Kryptowerte“ der BAFin auf:
„Auch wenn sich verstärkt eine realistische Bewertung der Chancen und Risiken sowie geeigneter Einsatzbereiche für diese Technologie durchsetzt, wird ihr weiterhin Potenzial zugesprochen, den Finanzmarkt – wie kaum eine andere Technologie – zu beeinflussen.“
Es geht bei der Veröffentlichung der BAFin natürlich um die Wertstabilität digitaler Zahlungsmittel und um die Verlässlichkeit sogenannter Smart Contracts.
Franks Nachtrag: Ähhh, ich hätte da eine Leseempfehlung.
2 Rechtsprechung
2.1 OLG Karlsruhe: Berücksichtigung des Drittstaatentransfers in Vergabeentscheidung
Das OLG Karlsruhe bestätigte die Entscheidung der Vergabekammer Baden-Württemberg nicht. Es reicht danach eben nicht nur zu behaupten, der Konkurrent hielte sich nicht an die datenschutzrechtlichen Vorgaben, wenn dieser darlegt, entsprechende vertragliche Regelungen getroffen zu haben.
„Nach Auffassung des Senats ist im Rahmen der Nachprüfung einer Vergabeentscheidung grundsätzlich davon auszugehen, dass ein Bieter seine vertraglichen Zusagen erfüllen wird. Erst wenn sich aufgrund konkreter Anhaltspunkte Zweifel daran ergeben, muss der öffentliche Auftraggeber ergänzende Informationen einholen und die Erfüllbarkeit des Leistungsversprechens prüfen. Im jetzt entschiedenen Fall hatte die Anbieterin jedoch eindeutige Zusicherungen zu dem Inhalt des Vertrags zwischen ihr und der luxemburgischen Holding-Dienstleisterin gemacht. Danach dürfen Daten ausschließlich an diese luxemburgische Gesellschaft übermittelt und ausnahmslos von ihr und nur in Deutschland verarbeitet werden. Die Krankenhausgesellschaften können auf dieser Grundlage berechtigt darauf vertrauen, dass die Anbieterin diese Vorgaben auch in ihrem Verhältnis zur Hosting-Dienstleisterin vertragsgemäß umsetzen wird. Sie müssen nicht damit rechnen, dass die luxemburgische Gesellschaft vertragswidrige und gegen europäisches Recht verstoßende Weisungen befolgen und personenbezogene Daten in die USA übermitteln wird.“
Wörtlich wird der Senat zitiert:
„Anders als die Antragstellerin meint, musste nicht allein die Tatsache, dass die A. ein Tochterunternehmen eines US-amerikanischen Konzerns ist, die Antragsgegnerinnen an der Erfüllbarkeit des Leistungsversprechens zweifeln lassen. Die Antragsgegnerinnen mussten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.“
In meinen Worten übersetzt heißt das: Allein zu behaupten, die Konkurrentin hielte sich nicht an das Gesetz, reiche nicht aus, es müssen schon konkretere Angaben gemacht werden, dass die Konstellation der Konkurrentin gesetzliche datenschutzrechtliche Vorgaben entgegen den Anforderungen der Ausschreibung missachte. Die Entscheidung ist rechtskräftig, einen Bericht darüber finden Sie auch hier.
2.2 BVerwG: Anforderungen an Abwägung bei Offenlegung nach Umweltinformationsgesetz
Im Bund und in manchen Bundesländern existieren Informationsfreiheitsgesetze. Daneben gibt es ein bundesweit geltendes Umweltinformationsgesetz. Danach sind Informationen auf Anfrage offenzulegen. Ein Ausschluss besteht oft aber dann, wenn dabei personenbezogene Daten umfasst sind. Ein Streitfall aus Berlin betraf dabei zum Beispiel schon mal Starkwetterkarten. Im aktuellen Fall vor dem BVerwG ging es um die Erkennbarkeit von Namen von Personen, die an einer Verordnung mitgewirkt haben. Die Vorinstanzen lehnten daher eine Veröffentlichung der Namen ab. Das BVerwG verwies die Sache aber nun an das Oberverwaltungsgericht zurück: Es bedürfe zusätzlicher tatsächlicher Feststellungen zu der Frage, ob durch eine Offenbarung der Namen und Kontaktdaten Interessen der Betroffenen erheblich beeinträchtigt werden. § 9 Abs. 1 Satz 1 Nr. 1 Umweltinformationsgesetz setzt auf einer ersten, der einzelfallbezogenen Abwägung von Bekanntgabe- und Geheimhaltungsinteresse vorgelagerten Stufe, eine erhebliche Interessenbeeinträchtigung durch eine Offenbarung personenbezogener Daten voraus. Soweit es daran fehlt, räume der Gesetzgeber dem Bekanntgabeinteresse generell Vorrang ein.
Es wäre schön, wenn ein künftiger Data Act hier klare Vorgaben macht, die bei einer Abwägung helfen.
Franks Nachtrag: Zum Data Act gibt es ja zumindest schon mal reichlich Informationen…
2.3 BAG: Pflicht zur Arbeitszeiterfassung / Initiativrecht des Betriebsrats
Eigentlich ist es nichts Neues. Die Fragestellung war nur falsch. Im Urteil des BAG sollte geklärt werden, ob ein Betriebsrat eine Einführung einer elektrischen Zeiterfassung über ein Initiativrecht verlangen könne. Das BAG sagte aber nur lapidar, dass bereits eine gesetzliche Pflicht zur Erfassung der Arbeitszeiten bestünde, bei deren Ausgestaltung ein Betriebsrat natürlich mitbestimmen dürfe. Bislang liegt nur die Pressemeldung vor. Die Entscheidung wird aber scheinbar nach den ersten Einordnungen dahingehend bewertet, dass nun noch mehr zu dokumentieren sei. Darum ging es aber gar nicht, die Pflichten zum Nachweis der Einhaltung gesetzlicher Vorgaben wie z.B. des Arbeitszeitgesetzes oder des Mindestlohns gab es bereits vorher.
2.4 LG Bonn: Bekannte Informationen schließen Auskunft nicht aus
In einem Beschluss stellt das LG Bonn fest, dass ein datenschutzrechtlicher Auskunftsanspruch nicht allein deshalb ausgeschlossen sei, dass Schreiben und Rechnungen der betroffenen Person bereits bekannt seien (RN 4). Die Beurteilung einer Rechtslage auf Basis personenbezogener Daten der betroffenen Person stellen zudem kein personenbezogenes Datum dar (RN 5).
2.5 Österreich OGH: Zulässigkeit von Bewertungsplattformen
In Österreich wurde die Revision einer klagenden Ärztin abgewiesen, die verhindern wollte, dass ihre Daten auf einer Ärzte-Plattform abgebildet werden. Auf der Plattform können Ärzte bewertet werden. Es besteht für jeden Arzt die Möglichkeit Bewertungen zu melden und eine Beschwerde mittels E-Mail oder Kontaktformular an den Plattformbetreiber zu richten. Dieser überprüft und entscheidet dann intern, ob diese Bewertung gelöscht wird oder nicht (weitere Details zur Ausgestaltung sind dem Urteil zu entnehmen). Der OGH sieht die datenschutzrechtliche Rechtmäßigkeitsgrundlage in Art. 6 Abs. 1 lit. f DS-GVO als erfüllt an.
2.6 Belgien: Vorlagefragen an EuGH wegen IAB
Der EuGH darf nach Informationen der ICCL in einem Vorlageverfahren wesentliche Fragen der Gestaltung zum Real Time Bidding und des dabei verwendeten Einwilligungsprozesses klären, die im Verfahren über die Entscheidung der belgischen Datenschutzaufsicht aufkamen. Die belgische Aufsicht begrüßt die Klärung wesentlicher Fragen durch den EuGH.
Franks Nachtrag: Zur Erinnerung…
2.7 EGMR: Unzulässige Datenspeicherung der sexuellen Orientierung bei Blutspende
Der Europäische Gerichtshof für Menschenrechte verurteilte Frankreich, weil dort Daten zur mutmaßlichen sexuellen Orientierung einer Person im Rahmen einer Blutspendeaktion gespeichert wurden. Laut dem Bericht muss Frankreich an die Person nun 12.000 Euro zahlen.
2.8 EuGH: Geldbuße gegen Google wegen Wettbewerbsbeschränkungen in Höhe von 4,125 Mrd. Euro
Im wettbewerbsrechtlichen Verfahren gegen Google (Mutterkonzern Alphabet) bestätigte der EuGH die Einschätzung der EU-Kommission, dass durch die Auferlegung von Beschränkungen für die Hersteller von Mobilfunkgeräten und Betreiber von Mobilfunknetzen ein wettbewerbswidriges Verhalten vorliegt. Die Strafe wurde aber entgegen der Entscheidung der Kommission um ca. 200 Mio. Euro reduziert. Zur Pressemeldung dazu geht es hier.
3 Gesetzgebung
3.1 EU: Cybersecurity-Vorgaben
In ihrem Cyber Resilience Act strebt die EU eine Stärkung der IT-Sicherheit gegenüber Angriffen und Verletzlichkeiten an. Einen Bericht dazu finden Sie hier.
3.2 EU-Chatkontrolle: Wie sicher bleiben Verschlüsselungstechnologien?
Natürlich findet es offiziell keiner gut, wenn Betreiber von elektronischen Kommunikationsmitteln über gesetzliche Vorgaben die Sicherheit der Vertraulichkeit und Integrität beeinträchtigen müssen. Nach geleakten Dokumenten scheint der Widerstand in der Praxis aber dann doch nicht so vehement auszufallen.
Franks Nachtrag: Lokal aber doch?
3.3 Gesetzes-Vorhabenliste der Bundesregierung
Dank einer Anfrage über „FragDenStaat“ ist die Liste der einzelnen Ministerien und ihren Gesetzvorhaben veröffentlicht worden. Sind Vorhaben wie ein Beschäftigungsdatenschutzgesetz des BMAS sicherlich kein Geheimnis, so gab es dazu vom BMDV keine Rückmeldung. Das will ich jetzt nicht kommentieren.
3.4 Erweiterung der Dienstleistungsmöglichkeiten für bayerische Krankenhäuser
Bisher war die Möglichkeit, IT-Dienstleistungen mit personenbezogenen Daten in bayerischen Krankenhäusern auszulagern, eingeschränkt. Durch eine Gesetzesänderung hat sich das nun geändert. Mehr lesen Sie dazu hier.
3.5 Datenschutz bei Gesundheitsanwendungen
An was ist bei Medizinprodukten und digitale Gesundheitsanwendungen bezüglich Datenschutzanforderungen zu denken? Wer sich dafür interessiert, findet bei den Vorgaben des Bundesamtes für Arzneimittel und Medizinprodukten die entsprechenden Hinweise und Prüfkriterien, die z.B. auch Vorgaben zu den technischen und organisatorischen Maßnahmen umfassen.
3.6 BMG: Digitalisierungsstrategie
Das Bundesministerium für Gesundheit erarbeitet eine ambitionierte Digitalisierungsstrategie. Hier finden Sie Infografiken mit Erläuterungen und Ablaufplanungen dazu. Vorgesehen sind auch acht Fachforen, wie z.B. „Akzeptanz und Begeisterung der Versicherten“.
4 Künstliche Intelligenz und Ethik
4.1 RAILS Award
Die Robotics & AI Law Society (RAILS) schreibt ihren Award für Studenten aus. Unveröffentlichte Arbeiten können bis 15. November 2022 eingereicht werden, mehr dazu hier.
5 Veröffentlichungen
5.1 BRAK zu Microsoft 365
An was sollten Rechtsanwälte bei dem Einsatz von Microsoft 365 denken? Dazu gibt die BRAK Hinweise auf ihrer Webseite. Das Merkblatt zu Microsoft 365 umfasst eine Darstellung der Anforderungen, der Kritik und die dazugehörige Reaktion von Microsoft, aber auch die berufsrechtlichen Aspekte dazu.
5.2 Microsoft 365 und Betriebsräte
In diesem Podcast (ca. 44 Min) tauscht sich ein Experte mit einer Betriebsrätin von Microsoft zum Einsatz von IT-Systemen und speziell zu M365 und zu den Zuständigkeiten und über den Einbezug von Betriebsräten aus.
5.3 Nochmal Microsoft: Ankündigungen zum 1. Oktober 2022
Microsoft freut sich Änderungen zum 1. Oktober 2022 anzukündigen, die es Partnern und deren Kunden leichter machen die Anforderungen der Kunden zu erfüllen.
5.4 Whistleblowing und Mitbestimmung
Hinweisgebersysteme verarbeiten personenbezogenen Daten meist auch von Beschäftigten eines Unternehmens. Damit eröffnen sich auch Fragestellungen zum Einbezug der Mitbestimmungsorgane. Damit befasst sich dieser Beitrag einer Rechtsanwaltskanzlei.
5.5 Umsetzung der „Cookie-Banner“-Anforderungen
Wie setzen populäre Webseiten die Anforderungen der Aufsichtsbehörden zur Banner-Gestaltung zur Einholung einer Einwilligung um? Damit befasst sich dieser Beitrag, der die 100 meistbesuchten Webseiten dahingehend prüfte, ob z.B. auf der ersten Ebene eine Möglichkeit zur Ablehnung angeboten wird oder wie viele Klicks erforderlich sind, um alle technisch nicht erforderlichen Cookies abzulehnen.
5.6 Hinweise auf Drittstaaten bei Informationspflichten
Muss bei den Informationspflichten bei einem Drittstaatentransfer das konkrete Drittland namentlich angegeben werden? Damit befasst sich dieser Beitrag und kommt zu dem Ergebnis, dass … ach was, lesen Sie selbst…
5.7 Facebook und Datenschutz
Mal wieder. Und eigentlich habe ich keine Lust mehr Woche für Woche zu berichten, welche Zweifel es an der rechtskonformen Umsetzung datenschutzrechtlicher Vorgaben bei Facebook, Instagram, TikTok, Google etc. gibt. Wenn diese Aussagen dann auch von einem Rechtsanwalt bezüglich der Problematik eines rechtskonformen Einsatzes der Facebook-Fanpages bestätigt werden, sollte bei den Partnern dieser Social-Media-Angebote geprüft werden, ob die eigene Argumentation tatsächlich noch ausreicht.
5.8 EuGH und sensible Daten
Das Urteil des EuGH, ab wann ein Datum als besonderes Datum gemäß Art. 9 DS-GVO zu behandeln sei, führt bei vielen zur Verunsicherung. Hier finden Sie einen Beitrag, wie dieses Urteil eingeordnet werden kann.
Franks Nachtrag: Zur Erinnerung…
5.9 Impfterminvergabe in Berlin
Nach welchen Kriterien vergeben staatliche Einrichtungen IT-Dienstleistungen, wie hier die Impfterminvergabe? Reicht „kostenlos“ aus und wer kümmert sich um die datenschutzrechtlichen Anforderungen? Diese Fragen kommen auf, wenn man sich die freigegebenen Informationen zur Vergabe an doctolib in Berlin durchliest.
Franks Nachtrag: doctolib, doctolib, hmm … was war da nur?
5.10 Veranstaltungen
5.10.1 Stiftung Datenschutz im Ehrenamt: Besonderheiten im Bereich kirchlichen Engagements
21.09.2022, 18:00 – 19:30 Uhr: Die DS-GVO lässt in Art. 91 DS-GVO eine Ausnahme zu: Unter bestimmten Bedingungen können sie eigene Datenschutzregeln erlassen und eigene Datenschutzaufsichten einrichten. Das ist auch für Vereine und ehrenamtliches Engagement im Umfeld von Kirchen relevant.
Im Webinar geht es darum, wie Sie feststellen, welches Datenschutzrecht für Ihren kirchlichen oder kirchennahen Verein gilt, insbesondere bei typischen Zweifelsfällen wie Jugendgruppen, nicht-eingetragenen Vereinen, Fördervereinen und bei Elternbeiräten. Außerdem lernen Sie Besonderheiten in den verschiedenen kirchlichen Datenschutzregelungen kennen, die es zu beachten gilt, und erhalten Tipps und Hinweise, wie Sie sich über kirchlichen Datenschutz weitergehend informieren können. Hinweis: In Deutschland haben nur christliche Kirchen von der Möglichkeit eines eigenen Datenschutzrechts Gebrauch gemacht. Das Webinar ist daher für Vereine und Engagierte im Bereich anderer Religionsgemeinschaften weniger praxisrelevant. Anmeldung erforderlich.
Franks Nachtrag: Wie, jetzt gibt es auch hier Nachträge? Ja, warum auch nicht… Laut der Anmeldeseite ist das Webinar verschoben worden, da es am 21.09.2022 nicht stattfinden kann. Anmelden können Sie sich aber trotzdem schon.
5.10.2 EAID: Wann kommt das Bundestransparenzgesetz – und mit welchem Inhalt?
23.09.2022, 15:00 – 18:00 Uhr: Deutschland hat bei der Transparenz staatlichen Handelns und speziell bei der Informationsfreiheit noch immer erheblichen Nachholbedarf. Seit dem bundesweit ersten Akteneinsichts- und Informationszugangsgesetz in Brandenburg von 1998 sind zwar im Bund und 13 weiteren Bundesländern entsprechende Gesetze ihn Kraft getreten, die den Bürgerinnen und Bürgern ein allgemeines, nicht begründungsbedürftiges Recht auf Zugang zu Informationen der öffentlichen Verwaltung einräumen. Im Koalitionsvertrag vom Dezember 2021 haben SPD, GRÜNE und FDP ihre Absicht bekundet, auch das Informationsfreiheitsgesetz des Bundes zu einem Transparenzgesetz weiterzuentwickeln. Was das konkret bedeutet, ist bisher offengeblieben. Die Europäische Akademie für Informationsfreiheit und Datenschutz will zusammen mit der ZGI Zeitschrift für das gesamte Informationsrecht die Realisierungschancen der Ankündigung im Koalitionsvertrag diskutieren und Antworten auf solche Fragen zu finden wie: Welche Erfahrungen gibt es in den Bundesländern mit Transparenzgesetzen und können sie für den Bund fruchtbar gemacht werden? Ist die Digitalisierung der Verwaltungsinformationen Voraussetzung für eine Transparenzgesetzgebung oder kann diese gerade als Katalysator für eine schnellere Digitalisierung dienen? Und schließlich: Sollte die Initiative für ein Bundestransparenzgesetz von der Bundesregierung (federführend dort: das Bundesinnenministerium), vom Bundestag oder von den Ländern ausgehen?, Teilnahme kostenlos, Anmeldung erforderlich.
5.10.3 Microsoft Roundtable: Microsoft 365 und Betriebsräte
27.09.2022, 09:00 – 15:00 Uhr: In seinem „Runden Tisch für Betriebsräte“ gibt Microsoft die Möglichkeit sich einen Überblick zu den Entwicklungen und Einsatzmöglichkeiten von Microsoft Office 365 zu verschaffen. Dabei stellt Microsoft Best Practices vor und gibt Möglichkeit Fragen zu stellen und sich mit Experten und anderen Betriebsräten auszutauschen und zu diskutieren. Anmeldung erforderlich.
5.10.4 Stiftung Datenschutz: „IT-Sicherheit gemäß DS-GVO: vereinbaren und umsetzen“
29.09.2022, 13:00 – 14:00 Uhr: Die Anforderungen der DS-GVO an die IT-Sicherheit werden noch weitläufig unterschätzt. Das gilt für die interne Umsetzung in Unternehmen und Behörden sowie bei Beauftragung und Vergabe von IT-Leistungen. Ein Experte erläutert, wie die technischen und rechtlichen Anforderungen der DS-GVO an die IT-Sicherheit interdisziplinär umgesetzt werden können. Schwerpunkte sind u.a. Datenschutzrechtliche Risikobewertung; Bestimmung, Einhalten und Unterschreiten des Stands der Technik; Auditierung der IT-Sicherheit und Prüfung durch die Aufsichtsbehörden; Bedeutung von IT-sicherheitsbezogenen Zertifikaten. Anmeldung erforderlich.
5.10.5 bits und bäume: CDR-Slam zu digitaler Verantwortung
27.09.2022, 20:00 – 21:00 Uhr (in Berlin): Beim Corporate Digital Responsibility (kurz: CDR)-Slam versuchen die führenden Köpfe der CDR-Community das Publikum zugespitzt und kurzweilig davon zu überzeugen, was der wichtigste Aspekt einer verantwortlichen, nachhaltigen Digitalisierung ist. Denn CDR hat viele Dimensionen – von Verbraucher*innenschutz, über Mitarbeitendenbelange bis hin zur Cybersecurity oder zu nachhaltigen Geschäftsmodellen.
5.10.6 LfDI BW: Datenschutzgrundlagen für öffentliche Stellen
18.10.2022, 09:30 – 12:30 Uhr: Ein Grundverständnis für den Datenschutz benötigen alle Beschäftigten im öffentlichen Dienst, denn neben der Datenschutz-Grundverordnung gelten für den öffentlichen Dienst noch spezielle datenschutzrechtliche Vorschriften. Im Rahmen einer Grundlagenschulung werden die Themen behandelt, die zu beachten sind und wie datenschutzrechtliche Probleme und Fragen im Arbeitsalltag erkannt werden können. Anwendungsbeispiele aus dem kommunalen Bereich u.a. aus dem Melde- oder Baurecht ergänzen die theoretischen Inhalte. Anmeldung erforderlich.
6 Gesellschaftspolitische Diskussionen
6.1 Ist bei uns der Datenschutz ein Fetisch?
Dass die Digitalisierung ein binäres System ist, ist bekannt. Dass die Befassung mit datenschutzpolitischen Fragestellungen kaum seriös zu einer Schwarz-Weiß-Darstellung tagt, eigentlich auch. Umso irritierender wirkt ein Beitrag eines Publizisten, der bisher für eine differenzierte Befassung mit komplexeren Themen zugänglich erschien. Natürlich gab es auch gleich entsprechende Befassungen mit dem Beitrag und auch Repliken eines direkt Erwähnten. Für mich ergaben die Reaktionen zumindest die Erkenntnis zu in diesem Zusammenhang noch nicht bekannten Begriffe wie „Grundrechtstheologie“ und „Bergpredigt“ in Bezug auf die informationelle Selbstbestimmung.
Franks Nachtrag: Dass sowas nun Thema wird, war ja klar…
6.2 Cyberversicherungen – zu hohes Risiko?
Berichten zufolge wird einigen Versicherungen das Risiko eines Schadens zu hoch und sie reduzieren ihr Angebot. Das führt nun demnach dazu, dass einige Unternehmen nun selbst dieses Risiko absichern. Ob dann allerdings auch die Managerhaftung übernommen wird, wenn zumutbare Schutzmaßnahmen nicht ergriffen werden, bleibt in dem Bericht offen.
Franks Nachtrag: In diesem Zusammenhang mag dieser Beitrag auch interessant sein.
6.3 BeReal – anders als Insta?
Eine neue App, die auch bei uns bekannter wird: BeReal fordert die Nutzer auf spontan die aktuelle Situation mit einem Bild zu dokumentieren und hochzuladen. Damit soll gerade auch jüngeren Smartphonenutzern vermittelt werden, dass die (digitale) Welt nicht nur aus (oftmals geschönten) (Instagram-) Bildern besteht. Auch der Deutschlandfunk hat sich damit bereits befasst.
6.4 Toxisches Netzwerk?
Mit dieser Frage befasst sich dieser Beitrag zu Instagram (86 Minuten), der in der arte-Mediathek noch bis Ende Oktober 2022 abrufbar ist.
6.5 Iran und Kopftuchpflicht
„Ich habe nichts zu verbergen“, „Mir kann keiner was“… Jede im Datenschutz aktive Personen hat sich mit solchen Aussagen schon einmal auseinandersetzen müssen. Doch nicht nur der Social Credit Score aus China oder die Änderungen in der Abtreibungsrechtsprechung in den USA können nun als Beispiel herangezogen werden, auch der Iran kündigt nach diesem Bericht an, mit einer Software die Einhaltung einer Pflicht zum Tragen eines Kopftuches überwachen zu wollen.
6.6 Apple: Wechsel der Datenschutzbeauftragten
Näheres ist noch nicht bekannt, aber wenn bei einem Unternehmen, das sein Marketing gerne auf die Datenschutzkonformität der Produkte und Dienstleistungen setzt, die Datenschutzbeauftragte laut dieser Meldung das Unternehmen verlässt, kann es am Geld liegen – muss aber nicht.
7 Sonstiges/Blick über den Tellerrand
7.1 Plattformregulierung
Hass und Hetze im Netz sind mittlerweile allgemein als Problem erkannt. Soziale Netzwerke hatten bislang nicht unbedingt ein eigenes Interesse daran auf Polarisierungen und Zuspitzungen zu verzichten und nahmen auch Beleidigungen in Kauf – Traffic generiert den Marktwert. Hier lesen Sie in einem Interview mit einem auf diese Themen spezialisierten Anwalt, warum er seine Aktivitäten in sozialen Netzwerken eingeschränkt hat.
8. Franks Zugabe
8.1 Ein Update zu den Leaky Forms
Sie erinnern sich vielleicht noch, dass wir darüber schon mal berichteten. Nun gab es mittlerweile das 31. Usenix Security Forum. Und dabei wurde der angekündigte Vortrag gehalten. Soweit, so grundsätzlich bereits bekannt. Warum erwähne ich es noch mal? Die Autoren der Studie haben ihre Datenbasis und die verwendete Software zur Identifikation der rechtswidrigen Tracker auf Github veröffentlicht. Wobei, Github? Aber, na ja, es ist halt nicht alles, was glänzt, Gold…
8.2 Einbinden externer Softwarebibliotheken und Software Development Kits (SDKs) – immer eine gute Idee?
Zumindest wenn ich als Nutzer aufs Daten-teilen oder als Bösewicht aufs Daten-abgreifen stehe. Nähere Details dazu gibt es hier.
8.3 Massenüberwachung zum Sparpreis – die enthüllte Dienstleistung
Na, das ist ja mal praktisch, zumindest für Strafverfolgungsbehörden. Wieder mal ein Trend, bei dem ich hoffe, dass er drüber auf der anderen Seite des Teichs bleibt – und die Hoffnung stirbt ja bekanntlich zuletzt…
Und nein, ich klaue natürlich keine Überschriften, ich zitiere.
8.4 Kennen Sie die Kryptokalypse?
Es ist schon wieder ein NIST-Kandidat geknackt worden. Es wird spannend. Hier der Hintergrund.
8.5 DoS mal anders
Kreativ, eine Denial-of-Service-Attacke durch Yandex-Taxen…
8.6 Mit Alexa-Routinen Strom- und Heizkosten senken?
Wenn Selbstdatenschutz keine Rolle spielt, dann können die in diesem Artikel beschriebenen Tipps hilfreich zum Sparen sein.
Da Strom- und Gassparen ja heutzutage in aller Munde ist, wollte ich das nicht unterschlagen. Und ich bin froh, dass ich mangels Alexa-Geräten keine Zielgruppe für den Artikel (in dem datenschutzrechtliche Erwägungen gar keine Rolle spielen) bin.
8.7 Skip Google for research
Ein erfrischender Aufruf. Ausprobieren!
8.8 Apropos toxisches Netzwerk – TikTok
Hier sagt die Artikelüberschrift schon wieder alles: TikTok is now way worse than you thought.
8.9 Für unsere Leser aus der Schweiz – Der DSG-Survival-Guide
Für Menschen, die mit KMU aus der Schweiz in Datenschutzfragen zu tun haben, mag dieser DSG-Survival-Guide hilfreich sein. Der Autor Herr Rosenthal ist uns ja schon bekannt u.a. durch sein TIA-Template und Ausführungen zur KI.
9. Die gute Nachricht zum Schluss
9.1 Felix Austria
Die gute Nachricht ist diesmal, dass es noch Ministerien gibt, die nicht nur reden, sondern auch aktiv ihren Beitrag leisten, wenn es um die Verbreitung digitaler Mündigkeit geht. In Österreich ist nämlich digitale Grundbildung seit diesem Schuljahr verpflichtend im Lehrplan der Sekundarstufe 1 verankert. Das erschöpft sich auch nicht in bloßen Ankündigungen, sondern wird zudem flankiert durch dreistufige Aus-, Fort- und Weiterbildungsinitiativen für das pädagogische Personal.